Назад | Перейти на главную страницу

Заполнение Kerberos с существующими пользователями LDAP

Моя организация использовала 389 Directory Server LDAP до сих пор для управления аутентификацией. Мне было поручено перейти на Kerberos для этой цели, но я все еще хочу сохранить LDAP для неавторизованных данных.

Моя проблема заключается в заполнение существующих пользователей.

Как я понимаю, LDAP сохраняет хешированный пароль, но Kerberos генерирует ключ на основе простого текстового пароля при создании пользователя. Есть ли способ вместо этого использовать хешированный пароль? Я знаю, что это возможно в LDAP.

Друг столкнулся с аналогичной проблемой, и его решение состояло в том, чтобы захватывать запрос пароля пользователя / обычного текста при каждой попытке аутентификации и использовать эту информацию для заполнения его Kerberos базу данных на несколько месяцев (чтобы получить всех «активных» пользователей), но это создает некоторые риски для безопасности.

Другой вариант - отправить всем пользователям массовое электронное письмо с принуждением к сбросу пароля, но я бы предпочел этого избежать.

Есть ли способ лучше?

Это должно указать вам правильное направление:

Можно немного изменить pam-krb5, так что pam_sm_authenticate на самом деле звонит pam_sm_chauthtok и возвращается PAM_IGNORE. Таким образом, pam_krb5 будет менять пароли вместо аутентификации.